RESOLUCIÓN: R/00795/2010

Transcripción

1 1/6 Procedimiento Nº PS/00553/2009 RESOLUCIÓN: R/00795/2010 En el procedimiento sancionador PS/00553/2009, instruido por la Agencia Española de Protección de Datos a la entidad BANKINTER S.A., vista la denuncia presentada por A.A.A., y en base a los siguientes, ANTECEDENTES PRIMERO: Con fecha de 3/12/2008, tuvo entrada en esta Agencia una denuncia de A.A.A. en la que manifiesta que el 4/11/2008, recibió un correo electrónico en su dirección particular de proporcionada al banco Bankinter, entidad de la que es cliente, y que por error de envío todas las direcciones de son visibles, entre ellas, la suya. Inmediatamente enviaron un mail de disculpas. Añade que ha empezado a recibir correos no deseados como consecuencia de dicha publicidad de datos. Adjunta copia del correo objeto de denuncia y del correo de disculpas, reconociendo el error. De la impresión de las direcciones de correo, existen tres páginas a una cara, conteniendo listas de correos de direcciones electrónicas. En la segunda se aprecia A.A.A.. La denunciante en documentación complementaria remitida el 13/05/2009, señala que su dirección es <...@1...>. Y aporta las cabeceras del mensaje recibido. Como dirección de remisión figura <...@bankinter.es>. SEGUNDO: El Director de la Agencia Española de Protección de Datos, tras la recepción de la denuncia, ordenó a la Subdirección General de Inspección de Datos la realización de las actuaciones previas de investigación para el esclarecimiento de los hechos denunciados, y se tuvo conocimiento de los siguientes extremos: 1. Con fecha de entrada 2/9/2009, se recibe escrito de Bankinter en respuesta al requerimiento de la Inspección de datos realizado en relación con los hechos denunciados, en el que se pone de manifiesto lo siguiente: 1.1. Doña A.A.A. y BANKINTER mantienen una relación contractual que se prolonga desde hace varios años. Adjunta copia de las Condiciones Generales de la e-cuenta corriente de la denunciante, contratada el día 8/06/2005, declarándose conforme con la cláusula de protección de datos, mediante la que da su consentimiento para el tratamiento de sus datos de carácter personal. Hasta la fecha, la sra. A.A.A. no se ha dirigido a esta entidad con el fin de revocar el consentimiento otorgado para realizar el tratamiento de sus datos personales así como para el envío de comunicaciones comerciales Adjunta copia impresa de los datos personales que figuran en los ficheros relativos a Doña A.A.A., incluyendo su dirección de correo electrónico La dirección de correo electrónico <...@bankinter.es> pertenece a un empleado de BANKINTER, entre cuyas funciones comerciales figura el ofrecimiento, mediante canales a distancia, de productos y servicios bancarios a clientes de BANKINTER, siempre y cuando éstos no hayan revocado su consentimiento al tratamiento de sus datos personales o al envío de comunicaciones comerciales El representante de BANKINTER desea poner de manifiesto que la remisión a múltiples destinatarios del comercial objeto de la presente reclamación, sin la utilización de la c. Jorge Juan Madrid

2 opción "copia oculta", no siguió, el procedimiento interno que esta Entidad tiene establecido al efecto, por circunstancias excepcionales y que escapan a su control, lamentando las consecuencias que ello haya podido acarrear y que lo acaecido no es más que un acto aislado que no responde a las líneas de actuación que BANKINTER tiene establecidas, sino al error humano de uno de sus empleados. En este sentido, adjunta una copia del Código de Ética Profesional de BANKINTER, de obligado cumplimiento por todos sus empleados, en cuyo apartado 3.4 se establece el deber de diligencia con el que debe realizarse el tratamiento informático y comercial de los datos de los clientes. TERCERO: Con fecha 20/10/2009, el Director de la Agencia Española de Protección de Datos acordó iniciar, procedimiento sancionador a BANKINTER S.A., por presunta infracción del artículo 10 de la Ley Orgánica 15/1999, de 13/12, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), tipificada como leve en el artículo 44.2.e) de dicha norma. CUARTO: Notificado el acuerdo de inicio, BANKINTER S.A. mediante escrito de fecha 13/11/2009 formuló alegaciones, reiterando lo ya manifestado, añadiendo que fue un hecho aislado, error humano causado por falta de diligencia de un empleado. El Departamento de Informática dio instrucciones sobre el uso del correo electrónico, haciendo referencia entre otros aspectos a la copia oculta cuando sean varios los destinatarios de un correo, y habiendo ella establecido las reglas a seguir, pide sea declarada exente de responsabilidad por falta de culpabilidad. QUINTO: Con fecha 26/11/2009, se inició el período de práctica de pruebas, incorporando la dimanante de actuaciones previas y las formuladas frente al acuerdo de inicio. SEXTO: Con fecha 24/02/2010, se formuló propuesta de resolución, proponiendo al Director de la Agencia Española de Protección de Datos, la imposición de una sanción de a BANKINTER S.A., por la infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma. SÉPTIMO: Con fecha de entrada en la Agencia 25/03/2010, BANKINTER S.A. realizó alegaciones frente a la citada propuesta de resolución en la que señala que debe concurrir el elemento de culpabilidad. La entidad ha adoptado procedimientos y cautelas que están a su alcance, suponiendo la comisión de la infracción un hecho que depende del factor humano que escapa por completo del control de la entidad. Pide subsidiariamente que se sancione aplicando el artículo 45.4 de la LOPD en la cuantía mínima, pues obedeció a un error humano involuntario y no intencionado, y que no ha producido daño alguno. HECHOS PROBADOS 1) La denunciante recibió el 4/11/2008 en su correo electrónico <...@1...> (folios 2 a 5 y 10 a 17) una información de Bankinter SA (dirección <...@bankinter.es>) conteniendo direcciones de correos electrónicos sin copia oculta, recibiendo todos los destinatarios todas las direcciones, entre ellas la de la denunciante. El correo refiere una información general sobre el Plan retorno referido a planes de pensiones. 2) La dirección de correo electrónico proporcionada por la denunciante a Bankinter es tratada conforme al contrato que las partes suscribieron, figurando en el apartado 7 la cláusula de protección de datos y la autorización para la comunicación e información por medios electrónicos (folios 35 a 40 y 42 a 44). No obstante Bankinter no respetó el deber de guardar los datos de la denunciante al ponerlos de manifiesto a todos los remitentes de los correos.

3 3/6 3) BANKINTER señala que existe un Código de Ética Profesional de obligado cumplimiento por todos sus empleados, que establece el deber de diligencia con el que debe realizarse el tratamiento informático y comercial de los datos de los clientes, así como instrucciones dadas desde el Departamento de Informática en concreto con la copia oculta del correo. Aporta copia del documento Auditoría, Comunicación, seguridad, Tecnología Uso correcto del correo electrónico informando que no se use para transmisión de información confidencial y en el documento Seguridad Informática detalla el uso de la copia oculta (folios 46 y 48, 55, 58, 59, 67). FUNDAMENTOS DE DERECHO I Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g) en relación con el artículo 36 de la LOPD. II En el presente procedimiento se imputa al BANKINTER la infracción del deber de secreto contenido en el artículo 10 de la LOPD. Dicho artículo establece lo siguiente: El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo. Dado el contenido del precepto, ha de entenderse que el mismo tiene como finalidad evitar que por parte de quienes están en contacto con los datos personales almacenados en ficheros se realicen filtraciones de los datos no consentidas por los titulares de los mismos. En este sentido, la Sentencia de la Audiencia Nacional de fecha 18/01/02, recoge en su Fundamento de Derecho Segundo, segundo y tercer párrafo, El deber de secreto profesional que incumbe a los responsables de ficheros automatizados, recogido en el artículo 10 de la Ley Orgánica 15/1999, comporta que el responsable en este caso, la entidad bancaria recurrente- de los datos almacenados en este caso, los asociados a la denunciante- no puede revelar ni dar a conocer su contenido teniendo el deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero automatizado o, en su caso, con el responsable del mismo (artículo 10 citado). Este deber es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática a que se refiere la STC 292/2000, y por lo que ahora interesa, comporta que los datos tratados automatizadamente, como el teléfono de contacto, no pueden ser conocidos por ninguna persona o entidad, pues en eso consiste precisamente el secreto. Este deber de sigilo resulta esencial en las sociedades actuales cada vez más complejas, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de derechos fundamentales, como la intimidad o el derecho a la protección de los datos que recoge el artículo 18.4 de la CE. En efecto, este precepto contiene un instituto de garantía de los derechos a la intimidad y al honor y del pleno disfrute de los derechos de los ciudadanos que, además, es en sí mismo un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos (STC 292/2000). Este derecho fundamental a la protección de los c. Jorge Juan Madrid

4 datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino (STC 292/2000) que impida que se produzcan situaciones atentatorias con la dignidad de la persona, es decir, el poder de resguardar su vida privada de una publicidad no querida (el subrayado es de la Agencia Española de Protección de Datos). El deber de confidencialidad obliga no sólo al responsable del fichero sino a todo aquel que intervenga en cualquier fase del tratamiento. El deber de secreto que incumbe a los responsables de los ficheros, recogido en el artículo 10 de la LOPD, comporta que el responsable o quienes intervengan en cualquier fase del tratamiento de los datos almacenados no puedan revelar ni dar a conocer su contenido teniendo el deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo. Este deber es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática a que se refiere la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, y, por lo que ahora interesa, comporta que los datos tratados automatizadamente o no, no pueden ser conocidos por ninguna persona o entidad ajena fuera de los casos autorizados por la Ley, pues en eso consiste precisamente el secreto. III En el presente caso, ha quedado acreditado que en los correos electrónicos remitidos por BANKINTER, objeto de la presente denuncia, eran visibles para los receptores (la denunciante), y los destinatarios. Dicho comportamiento por parte del BANKINTER supone una infracción del citado artículo 10 de la LOPD por parte de dicha entidad. No pueden ser tenidas en cuenta las alegaciones del BANKINTER en el sentido de atribuir el hecho infractor a una persona de su organización, por cuanto esta cuestión en nada altera el resultado objetivo de su conducta que configura el ilícito imputado, cual es la revelación de las direcciones de correo electrónico que, obrantes en los ficheros de BANKINTER, son comunicadas a terceros sin habilitación. En este sentido queda claro que toda y cualquier organización actúa a través de sus empleados, y que en este caso se ha operado sobre los datos contenidos en ficheros responsabilidad de BANKINTER. Por otro lado, la alegación de que no existe culpabilidad, se debe manifestar que este tipo de infracciones que ponen datos al descubierto se consuman como suele ser la regla general en las infracciones administrativas, por concurrencia de culpa leve. El artículo de la Ley 30/1992, dispone que solo pueden ser sancionadas por hechos constitutivos de infracción administrativa los responsables de los mismos, aún a titulo de simple inobservancia, Esta simple inobservancia no puede ser entendida como la admisión en el derecho administrativo sancionador de la responsabilidad objetiva, pues la jurisprudencia mayoritaria de nuestro Tribunal Supremo y la doctrina del Tribunal Constitucional destacan que el principio de culpabilidad, aún sin reconocimiento explícito en la Constitución, se infiere de los principios de legalidad y prohibición de exceso o de las exigencias inherentes a un estado de Derecho, y requieren la existencia de dolo o culpa. La conducta que configura el ilícito administrativo aplicado en este caso, artículo 44.2.e) requiere la existencia de culpa, que se concreta por lo que ahora interesa en la falta de diligencia observada al remitir correos electrónicos sin la copia oculta, no pudiéndose decir que han sido a veinte o treinta personas a las que se remitió, sino dos páginas y media completas de direcciones de las que se han podido conocer las direcciones de los clientes El artículo 44.2.e) califica como infracción leve: IV

5 5/6 Incumplir el deber de secreto establecido en el artículo 10 de esta Ley, salvo que constituya infracción grave. En el presente caso, de acuerdo con lo señalado, la vulneración del deber de secreto recogido en el artículo 10 de la LOPD por parte del BANKINTER, encuentra su tipificación en el citado artículo 44.2.e) de la LOPD, ya que el dato revelado es la dirección de correo electrónico sin que quepa incluirlo en el tipo agravado del artículo 44.3.g) de la LOPD. El artículo 45.1 y 4 de la LOPD dispone: V 1 Las infracciones leves serán sancionadas con multa de 601,01 euros a ,21 euros La cuantía de las sanciones de graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora. En el presente supuesto, se demanda la sanción mínima al no haber intervenido la entidad sino una persona que comete el error, calificado como involuntario, y que no se causaron perjuicios. No obstante se debe indicar que las entidades actúan a través de las personas que en ella se integran, y en el presente caso, pese a la existencia de normas claras al respecto, se confeccionó un listado de direcciones bastante considerable, ocupando dos páginas y media, lo cual aunque no denota intencionalidad en sí, si da lugar a que esto no pueda se considerado como merecedor de la cuantía mínima. En cuanto al criterio del perjuicio causado, es una presuposición de Bankinter, que queda difuminada por la afirmación de la denunciante de que recibió correos no deseados, aunque no aporta ninguno. A tenor de los criterios de graduación de las sanciones recogidos en el citado artículo 45.4, y, en especial, atendiendo a la falta de intencionalidad, a que existían medidas a seguir por los empleados, y teniendo en cuenta que fueron dos hojas y media de direcciones, se impone una sanción de Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: IMPONER a BANKINTER S.A., por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 2.000, de conformidad con lo establecido en el artículo 45.1 y 4 de la citada Ley Orgánica. SEGUNDO: NOTIFICAR la presente resolución a BANKINTER S.A. y a A.A.A.. TERCERO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva en el plazo de pago voluntario que señala el artículo 68 del Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso en la cuenta restringida nº abierta a c. Jorge Juan Madrid

6 nombre de la Agencia Española de Protección de Datos en el Banco Bilbao Vizcaya Argentaria, S.A. o en caso contrario, se procederá a su recaudación en período ejecutivo. Si recibe la notificación entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si recibe la notificación entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior. De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 6 de abril de 2010 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: Artemi Rallo Lombarte